RSnake kiírt egy kis versenyt a sla.ckers fórumon, melynek célja egy minél rövidebb önreprodukáló XSS féreg létrehozása. A hangsúly az önreprodukción van, tehát a "hasznos rakomány" (payload) nem érdekes, a cél az, hogy az injektált kód reprodukálja magát. A versen január 10-ig tart, díjazás nincs, elismerés viszont annál több :)
Update:
Kijött még egy nagyobb lélegzetvételű poszt a versennyel kapcsolatban, amiben RSnake azoknak válaszol, akik szerint a kitűzött cél ártalmas, csak feketekalaposok foglalkoznak ilyenekkel, és egyébként is, a ha.ckers.org alapítója terjeszti a legveszélyesebb kártevőket, csak hogy legyen munkája. Mivel engem is megkerestek azzal kapcsolatban, hogy mire is jó ez a megmérettetés valójában, most bevágok egy-egy részletet a fennti magyarázatból az értetlenkedők okulására, valamint hogy mindenki lááson egy kis "hacker-thinking"-et:
Mindig azt mondtam, hogy addig nem érted a problémát, amíg nem látsz bele, és játszol el vele egy kicsit. Ezért van az, hogy a tapasztalat mindig többet ér mint az "iskolázott" tudás. Ez olyan, mintha úgy akarnál lejátszani egy meccset egy profi boxolóval, hogy még soha nem is verekedtél. Ha a férgek terjedésének tanulmányozásától én leszek a rossz fiú, hát az leszek. Inkább legyek gonosz, és tudjam megoldani a problémákat, minthogy jófiúként süljek fel (mint a legtöbb kritikus akikkel találkoztam). Ezért van az, hogy olyanok is besegítenek a versenybe, mint Giorgio Maone (a noscript plugin szerzője). A hozzá hasonló emberek is ezeket a problémákat kezelik a maguk módján. Mindenkinek az érdeke azt diktálja, hogy megértsük a dolog összes vetületét. Hogy ez segítséget jelenthet a valódi rosszfiúknak? Naív lennék ha azt mondanám, hogy nincs erre esély. Ennek ellenére itt a cél az, hogy megértsük, mi alapján lesznek a terjesztési módszerek kiválasztva, és ez által tudjunk védekezni ellenük. Rengeteg érdekes felfedezés született, amelyek alapján leszűkíthetjük a legveszélyesebb módszerek körét, és javaslatot tehetünk a böngészőgyártóknak és biztonsági technológiákat fejlesztő cégeknek a megelőzésükre.A nevezett kódok egyébként a 120 byte-ot ostromolják (igaz, hogy a legkisebbek nagy része még alap szintű felhasználói interakciót igényel), az új eredmények folyamatosan érkeznek. Rengeteg érdekes trükköt lehet találni, érdemes tehát egy-egy pillantást vetni a szálra.
EQ · http://rycon.hu/ 2008.01.06. 17:11:12
scripter-man 2008.01.08. 09:26:56
andreiground (törölt) · http://www.andreiground.com/ 2008.01.10. 11:35:59
Amikor néztem, akkor 153 karakteres volt, de láttam 120 környékén (ugyan hibás, de) futó kódokat.
Vicces. Nem volt egy jelentkező sem, aki IE7 alatt próbafuttatást végzett volna, mert mindenki FF2 alatt pörög :D
Azoknak pedig, akik nehezményezik ezt és az ehhez hasonló versenyt, azt mondom, hogy el kellene gondolkozni azon, hogy vajon mi viszi előbbre a világot. A "hacker rossz" hozzáállás vagy a hackerek által publikáltak elolvasása, megértése és ismeretanyagunk (tehát látókörünk) bővítése?
Ilyen versenyek nélkül egy cég sem tudna fejleszteni, mert nem ismerné saját termékeinek sebezhetőségét. Inkább nyilt formában ismerje meg, mint egy attack során. Például az FF menetközben eszközölt is egy javítást, amelyen a szkripterek morgolódtak, de pozitív értelemben, mivel a 180 valahány karakteres kód többé már nem futott és újra kellett gondolni a koncepciót. Ezt persze megint javítja majd az FF és nehezíti a kódtömörítést, meg a js/xss manipulációt.
Csak megprobáltam megvilágítani azoknak, akik minden mögött rosszat sejtenek. Nem is ecsetelem tovább a dolgot..